IETF 94 報 告 DNS 関 連 藤 原 和 典 fujiwara@jprs.co.jp 株 式 会 社 日 本 レジストリサービス (JPRS) IETF 94 報 告 会, 2015 年 12 月 8 日
自 己 紹 介 氏 名 : 藤 原 和 典 個 人 ページ: http://member.wide.ad.jp/~fujiwara/ 勤 務 先 : 株 式 会 社 日 本 レジストリサービス (JPRS) 技 術 研 究 部 業 務 内 容 :DNS 関 連 の 研 究 開 発 IETFでの 活 動 (2004~) RFC 5483 6116 (2004~2011):ENUMプロトコル RFC 5504 5825 6856 6857 (2005~2013) メールアドレスの 国 際 化 ( 互 換 性 部 分 を 担 当 ) DNS 関 連 の 問 題 提 起 など draft-ietf-dnsop-dns-terminology (2014/11~, AUTH48) draft-fujiwara-dnsop-nsec3-aggressiveuse (2015/3~) 一 言 : IETF 94から 今 日 までの 変 化 が 大 きい Copyright 2015 Japan Registry Services Co., Ltd. 2
DNS 関 連 WG/BOF DNS 関 連 WG/BOF dnsop DNS 運 用 ガイドラインの 作 成 dprive DNS 通 信 路 の 暗 号 化 dane DNS(SEC)にTLSの 証 明 書 ( 非 開 催 ) dbound Public Suffix List の 後 継 dnssd DNS-SD (RFC 6763)の 拡 張 IETF 以 外 IEPG DNSを 扱 ったWG (のうちで 見 たもの) mif Multiple Interfaces homenet Home Networking ドメイン 名 lager Label Generation Rules ( 説 明 できないので 対 象 外 ) Copyright 2015 Japan Registry Services Co., Ltd. 3
dnsop (DNS Operations ) WG DNS 運 用 ガイドラインを 作 るWG 振 り 返 り: 2014 年 11 月 のIETF 91 DNS Cookies 復 活, TCPトランスポート, ISPでのIPv6の 逆 引 き, Negative Trust Anchor 振 り 返 り: 2015 年 3 月 のIETF 92 qname-minimisation, root-loopback, dns-terminology, acl-metaqueries, 差 分 転 送 の 改 善, TLDの 予 約 (.onion), nsec-aggressiveuse 振 り 返 り: 2015 年 7 月 のIETF 93 多 数 のdraftが 完 了 し status report 多 数 TCPトランスポートに 関 する 議 論 nsec-aggressiveuse トラストアンカー 管 理 の 議 論.onion 以 外 のTLD 予 約 の 話 題 はDesign Teamに 分 離 Copyright 2015 Japan Registry Services Co., Ltd. 4
dnsop (2) RFC 発 行 (1) RFC 7583: DNSSEC Key Timing Informational, 2015/10/21 DNSSECでの 鍵 更 新 のタイミングについて 考 察 RFC 7646: Negative Trust Anchors Informational, 2015/10/21 DNSSEC 検 証 を 無 効 にするドメイン 名 の 設 定 BIND 9, Unbound, Vantioで 実 装 済 RFC 7686:.onion TLD Proposed Standard, 2015/10/23 Copyright 2015 Japan Registry Services Co., Ltd. 5
dnsop (3) RFC 発 行 (2) RFC 7706: Decreasing Access Time to Root Servers by Running One on Loopback Informational, 2015/11/25 ルートゾーンのコピーをfull-service resolverに 置 く RFC Editor Queue draft-ietf-dnsop-dns-terminology Informational, RFC 7719 DNS 用 語 集 11/30からAUTH48で 最 終 チェック 中 Copyright 2015 Japan Registry Services Co., Ltd. 6
dnsop (4) IESGで 作 業 中 のもの (1) draft-ietf-dnsop-qname-minimisation, Experimental プライバシー 向 上 のため クエリ 情 報 の 漏 洩 を 最 小 化 IETF Last Call: 11/9~11/23 コメント 反 映 待 ち draft-ietf-dnsop-rfc6598-rfc6303-05, BCP Add 100.64.0.0/10 prefixes to IPv4 Locally-Served DNS Zones Registry IETF Last Call: 11/9~11/23 12/7にIESG 通 過 (approved) draft-ietf-dnsop-edns-tcp-keepalive, Proposed Standard DNS/TCPでのkeepalive 時 間 を 設 定 するEDNS0オプション IETF Last Call: 11/16~11/30 コメント 反 映 待 ち draft-ietf-dnsop-5966bis-04, Internet Standard DNS Transport over TCP - Implementation Requirements IETF Last call 11/23~12/7 Copyright 2015 Japan Registry Services Co., Ltd. 7
dnsop (5) IESGで 作 業 中 のもの (2) draft-ietf-dnsop-cookies, Proposed Standard IETF Last call 11/30~12/14 Domain Name System (DNS) Cookies DNS/UDPの 攻 撃 耐 性 を 上 げるために クエリ 側 で64ビット のCookieを 添 付 し サーバはレスポンスに 同 じものをコピー 送 信 したCookieと 受 信 したCookieが 異 なっていると 異 常 draft-ietf-dnsop-edns-client-subnet, Informational Public DNSサービスの 利 用 者 がCDNのアドレス 制 御 を 使 用 できるように クライアントのサブネットアドレスを 権 威 DNS サーバに 伝 えるEDNS0オプション 2015/12/7~12/21 IETF Last Call draft-ietf-dnsop-edns-chain-query, Proposed Standard 2015/11/28 Publication Requested Copyright 2015 Japan Registry Services Co., Ltd. 8
dnsop (6) RFC 7686 The ".onion" Special-Use Domain Name Torで 使 用 している 特 殊 用 途 ドメイン 名 として.onionを 予 約 Tor 以 外 での 使 用, 登 録, 設 定 を 禁 止 名 前 解 決 API, Library, Resolversは.onionを 特 別 扱 いし て Tor 処 理 を 行 うこと(MUST) Torを 知 らなければエラーとし 名 前 解 決 をしないこと.localも 特 別 扱 い(RFC 6762, SHOULD) すべてのOSのlibcなどを 変 更 する 必 要 がある? Caching DNS Servers (full-service resolvers)では.onionの 名 前 解 決 をしないこと (SHOULD NOT) ルートに 情 報 が 漏 れるため Private addressのゾーンと 同 じ 空 のzone 設 定 Operatorは.onionを 他 用 途 で 設 定 しない (MUST NOT) Copyright 2015 Japan Registry Services Co., Ltd. 9
dnsop (7) IETF 94でのミーティングの 概 要 これまでの 仕 事 の 多 くがIESGに 提 出 完 了 多 くのdraftがWGドラフト 候 補 (candidate)に dnsext WGが 対 応 していたDNSプロトコルの 拡 張 が 多 い.onion 以 外 の 特 殊 用 途 TLDの 予 約 複 数 の 新 規 提 案 draft-jabley-dnsop-ordered-answers draft-ogud-dnsop-maintain-ds draft-muks-dnsop-dns-message-checksums draft-muks-dns-message-fragments draft-wessels-edns-key-tag DNAME in the Root? NXDOMAIN means NXDOMAIN Copyright 2015 Japan Registry Services Co., Ltd. 10
dnsop (8).onion 以 外 のTLD 予 約 について 現 在 予 約 提 案 が6 (bit, i2p, gnu, zkey, exit, alt) IABとIESGが dnsopに 問 題 解 決 を 期 待 している IETF 93で 設 立 されたDesign Teamからの 報 告 draft-adpkja-dnsop-special-names-problem-00 Alain Durand, Peter Koch, Joe Abley のイニシャル6 文 字 現 在 の 状 況 を 把 握 し 透 明 な 手 順 を 提 案 する DNSだけではなく URIのプロトコル 識 別 子 (http)などの 拡 張 などを 含 めた 提 案 などもあり ( http-onion://foo/ ) 選 択 肢 ( 予 約 をやめる, alt TLD, ICANNとのプロセスを 作 る, 別 の 識 別 子, その 他 ) IETF Chairが IESGで 決 めることではなく Communityで 議 論 すべきことであると 発 言 多 数 のコメントをDesign Teamがまとめ 継 続 Copyright 2015 Japan Registry Services Co., Ltd. 11
dnsop (9).onion 以 外 のTLD 予 約 について ( 続 報 ) 2015/11/30にICANNから 公 開 されたFinal Report Mitigating the Risk of DNS Namespace Collisions Final Report by JAS Global Advisors https://www.icann.org/news/announcement-2-2015-11-30-en 6ページにRECOMMENDATION summary RECOMMENDATION 1: The TLDs.corp,.home, and.mail be referred to the Internet Engineering Task Force (IETF) for potential RFC 1918 like protection/treatment.corp,.home,.mail もIETFで 予 約 すべきであるとコ ンサルタントが 言 っている さてどうなることやら Copyright 2015 Japan Registry Services Co., Ltd. 12
dnsop (10) WG draftとしての 採 択 手 順 candidate for WG adoption( 採 択 候 補 )というステー タスが 追 加 された Call for adoption 2 weeks Supportという 人 がいれば 採 択 WG draftとして 新 規 採 択 (1) draft-ietf-dnsop-refuse-any, 2015/11/4 タイプANYのクエリを 拒 否 したいが RFC 1035に 反 する ANYに 対 して 大 きな 応 答 を 返 さないという 目 的 に 変 更 ANYの 利 用 目 的 はdebug, 疑 わしい 最 適 化, 誤 解,amp すべてではなく 何 かを 返 せばよい (any!= all) 応 答 の 自 動 生 成 ではHINFOを 返 すとよいという 提 案 ミーティングでも 強 いサポートあり Copyright 2015 Japan Registry Services Co., Ltd. 13
dnsop (11) WG draftとして 新 規 採 択 (2) draft-ietf-dnsop-dns-no-response-issue, 2015/11/28 DNSサーバ 無 応 答 問 題 の 分 類 評 価 方 法 と 対 策 知 らないパケットを 捨 てるfirewall TCPのフィルタ 実 装 ミ スなどが 原 因 2013 年 5 月 から 提 案 され 評 価 結 果 も 公 表 されていた Call for adoption: 2015/11/12~11/26 11/26 adopted draft-wessels-edns-key-tag ValidatorがTrust anchorのkeytagを 送 信 するEDNS0オプ ションの 提 案 ゾーンの 管 理 者 がDNSSEC Trust anchorのロールオーバ ーの 進 捗 を 調 べることが 目 的 Call for adoption: 2015/11/28~12/7 12/5 adopted Copyright 2015 Japan Registry Services Co., Ltd. 14
dnsop (12) WG draftとして 採 択 候 補 (1) draft-ogud-dnsop-maintain-ds CDSでのDS 自 動 更 新 ではDNSSEC 検 証 できるCDSがあっ たときにDSを 更 新 するため 最 初 の 登 録 と 削 除 は 不 可 能 DNSSEC 設 定 を レジストリなしに 行 う 提 案 最 初 は 無 条 件 に 信 用 する (Opportunistic) 提 案 あり Call for adoption 2015/11/28~12/12 draft-bortzmeyer-dnsop-nxdomain-cut ミーティング 時 にはアイデアスライドだけであったもの あるドメイン 名 がNXDOMAIN( 名 前 不 存 在 )だと その 子 孫 の ドメイン 名 はすべてNXDOMAINとして 扱 うという 提 案 draft-vixie-dnsext-resimprove (リゾルバ 改 良 提 案 )の 一 項 目 Call for adoption: 2015/12/5~12/19 Copyright 2015 Japan Registry Services Co., Ltd. 15
dnsop (13) WG draftとして 採 択 候 補 (2) draft-muks-dnsop-dns-message-checksums, 2015/10/31 攻 撃 耐 性 を 上 げるためにチェックサムを 追 加 Cookieなど 他 の 手 段 があるため ミーティングでは 不 評 draft-jabley-dnsop-ordered-answers, 2015/10/31 RRSetの 順 序 をそろえる 提 案 で ミーティングでは 不 評 draft-fujiwara-dnsop-nsec-aggressiveuse, 2015/10/31 ミーティングでは 触 れられなかった draft-fanf-dnsop-rfc2317bis, 2015/11/12 Classless IN-ADDR.ARPA delegation and dynamic reverse DNS UPDATE IPv4 逆 引 きDNSの 設 定 についてのRFC 2317のアップデート Copyright 2015 Japan Registry Services Co., Ltd. 16
dnsop (14) WG draftとして 採 択 候 補 (3) draft-crocker-dns-attrleaf, 2015/12/2 DNS Scoped Data Through '_Underscore' Attribute Leaves IANAにUnderscore names registryを 設 置 する 提 案 dnsop で 議 論 されていなかったが 突 然 採 択 候 補 になった 2006 年 6 月 から 提 案 されているドキュメント これまで_sip, _tcp, _udpなどを 集 中 管 理 していなかったため その 他 DNAME in root.local へのクエリが 非 常 に 多 いので それらをAS 112と 同 様 に rootにdnameを 書 くとよいという 提 案.onionや.exampleなども 同 様 draftを 書 くようにという 提 案 があった Rootに 漏 れていた 情 報 がAS112に 漏 れるという 懸 念 あり Copyright 2015 Japan Registry Services Co., Ltd. 17
dprive WG DNS PRIVate Exchange (dprive) WG スタブリゾルバとフルリゾルバの 間 の 通 信 をTLS で 暗 号 化 するプロトコルを 策 定 するWG 振 り 返 り: IETF 91 2014 年 10 月 17 日 に 設 立 複 数 の 提 案 : ポート53+STARTTLS, DNS over HTTPS 懸 念 事 項 :Middle box(cpeやfirewall)を 通 るか 振 り 返 り: IETF 92 別 ポート 案 とSTARTTLS 案 のマージが 好 まれた 振 り 返 り: IETF 93 DNS over TLS 継 続 DNS over DTLS 新 規, EDNS Padding 新 規 Copyright 2015 Japan Registry Services Co., Ltd. 18
dprive (2) RFC 7626 DNS Privacy Considerations 2015/8/26 発 行 ミーティング 概 要 DNS over TLSについての 報 告 と 確 認 DNS over DTLSの 複 雑 さについての 理 解 DS,DNSKEYのようなものを 使 って 暗 号 化 すると いうアイデアの 発 表 があったが second DTLS はいらないといわれ 不 評 であった Copyright 2015 Japan Registry Services Co., Ltd. 19
dprive (3) draft-ietf-dprive-dns-over-tls: DNS over TLS 概 要 TCP port 853 で 待 ちうけ (httpsのように)tls 処 理 複 雑 なSTARTTLSは 消 えた DNS over TCP のデータをTLS 上 に 流 す 2オクテットのデータ 長 + UDP DNSパケットと 同 じもの TLS/TCPの 接 続 を 切 らず 張 りっぱなしで 複 数 のクエリを 処 理 すること サーバの 認 証 については 現 在 は2 種 類 Opportunistic( 認 証 しない) と 事 前 設 定 ステータス 2015/10/22~11/12 WG Last Call IETF 94でサーバの 認 証 プロファイルを 分 離 することとな ったため 若 干 遅 れそうだが 方 向 性 は 合 意 された 12/7に 発 行 された-02で サーバの 認 証 プロファイルの 追 加 は 他 のドキュメントを 参 照 するという 記 述 が 追 加 Copyright 2015 Japan Registry Services Co., Ltd. 20
dprive (4) DNS over TLS 実 装 Unbound: フルリゾルバ Version 1.4.14 から 設 定 方 法 (マニュアルより) (ssl-port: 853) ssl-service-key: <file> TLS 秘 密 鍵 ファイル ssl-service-pem: <file> TLS 公 開 鍵 ファイル ssl-upstream: no Forwarder 動 作 時 にTLSで 接 続 getdns api: DNSクライアントライブラリ Version 0.3.0 で 入 ったようにみえる その 他 パッチあり TLS(SSL)アクセラレータと 既 存 実 装 でも 実 現 可 能 Copyright 2015 Japan Registry Services Co., Ltd. 21
dprive (5) DNS over DTLS, draft-ietf-dprive-dnsodtls UDP port 853を 使 用 し DTLSのデータとして DNSを 運 ぶプロトコル DTLS = RFC 6347 Datagram Transport Layer Security ミーティングでの 議 論 DTLSにはFragmentationの 仕 組 みがないので その うえにFragmentationを 作 る 必 要 があり 複 雑 さを 増 すことが 理 解 された DNS 層 fragmentation 層 DTLS 層 UDP 層 IP 層 複 雑 そうなので DNS over TLSだけとなる 可 能 性 あり Copyright 2015 Japan Registry Services Co., Ltd. 22
dprive (6) draft-ietf-edns0-padding 暗 号 データを 守 るためのEDNS0 Padding Call for adoption: 2015/11/3~11/17 WG draftとして 採 択 Copyright 2015 Japan Registry Services Co., Ltd. 23
振 り 返 り: IETF 90, 2014/7 SMTP, SRV 議 論 完 了 振 り 返 り: IETF 91, 2014/11 DANE SMIMEA: 実 装 案 の 議 論 とOpenPGPとのマージ 提 案 振 り 返 り: IETF 92, 2015/3 OpenPGPKEY: WGLC 完 了 メールアドレスの 扱 いについての 議 論 hex( 先 頭 28バイト(sha256( 小 文 字 (username))))._openpgpkey.dom 振 り 返 り: IETF 93, 2015/7 DNSSEC auth chain extension メールアドレスの 扱 いについての 議 論 base32(user name)._openpgpkey.dom Copyright 2015 Japan Registry Services Co., Ltd. 24 dane WG DNS-based Authentication of Named Entities WG DNSにTLSの 証 明 書 を 載 せるWG
dane (2) ミーティング 非 開 催 2015/10/14にRFC 発 行 (proposed standard) RFC 7671: DANE Protocol: Updates and Operational Guidance RFC 7672: SMTP Security via Opportunistic DANE TLS RFC 7673: Using DANE TLSA Records with SRV Records draft-ietf-dane-openpgpkey-06 10/19からWaiting for Writeup::AD Followup メールアドレスで 迷 走 か? SMIMEAも 停 止 中 Copyright 2015 Japan Registry Services Co., Ltd. 25
dbound (Domain Boundaries) WG Public Suffix List (PSL)の 後 継 を 考 えるWG PSLはCookieの 取 り 扱 い 判 定 で 使 用 されているもの で Mozilla Foundationがメインテナンスしている https://publicsuffix.org/ 巨 大 なテキストの 順 序 付 きリストで 上 から 順 にパターンマッチ 使 用 例 に 複 雑 な 地 域 型 JPドメイン 名 振 り 返 り IETF 91:WG 設 立 の 合 意 IETF 93: 主 な 議 題 はDefine the problemで 結 論 出 ず 用 途 案 :Cookie, 証 明 書 発 行, ワイルドカード 証 明 書, DMARCドメイン 名 抽 出 Copyright 2015 Japan Registry Services Co., Ltd. 26
dbound (2) IETF 94では90 分 間 の 議 論 が 行 なわれた 活 発 な 議 論 が 行 なわれたが 何 を 解 決 したいか があいまいであり 結 論 が 出 なかった draft-deccio-dbound-organizational-domainpolicy ドメイン 名 の 管 理 情 報 をDNSに 置 く 新 提 案 < 内 部 ドメイン 名 >._odup.< 組 織 ドメイン 名 > TXTに 各 種 制 約 を 書 くという 提 案 ドメイン 名 が 与 えられると すべての. 区 切 りに _odup ラベルを 追 加 し TXTを 調 べること 内 部 ドメイン 名 の 上 位 ドメイン 名 を 調 べること ラベル 数 がn 個 の 場 合 n(n-1)/2のtxtクエリが 必 要 Copyright 2015 Japan Registry Services Co., Ltd. 27
dnssd (Extensions for Scalable DNS Service Discovery) WG DNSを 使 ったサービスディスカバリを 作 るWG DNS-SD (RFC 6763)をベースに 複 数 ネットワーク セグメントに 対 応 したものを 標 準 化 する 振 り 返 り: IETF 91 Long Lived Queries, 脅 威 モデル ハイブリッドプロキシー 振 り 返 り: IETF 92 DNS Push: LLQの 代 わりにDNS Updateに 変 更 振 り 返 り: IETF 93 基 本 的 には 継 続 した 議 論 DNSとmDNSでラベルの 扱 いが 違 う 問 題 Push Notifications, 脅 威 モデル, 実 装 の 紹 介 Copyright 2015 Japan Registry Services Co., Ltd. 28
dnssd (2) ミーティングの 雰 囲 気 は 若 干 減 速 気 味 homenetで 使 いたいので 実 装 している dnssdを 変 形 したプロトコルの 提 案 IoT 関 連 の 名 前 解 決 のため 業 界 団 体 が 動 き 始 めた draft-ietf-dnssd-hybrid dnssdをmdnsとdnsのhybrid proxyとして 実 装 近 いうちにWGLCの 予 定 だが 未 実 施 DNS Push Notifixations mdnsに 名 前 を 登 録 するプロトコル DNS Updateをベースに 新 しく 作 成 された Hybrid proxyとの 整 合 性 が 取 れているか 確 認 が 必 要 draft-ietf-dnssd-mdns-dns-interop mdnsとdnsのラベルの 整 合 性 WGLCは 完 了 して 近 いうちにIESGに 提 出 見 込 み Copyright 2015 Japan Registry Services Co., Ltd. 29
mif (Multiple Interfaces) WG 複 数 のインターフェースを 使 い 分 けるプロトコル RFC 7556: Multiple Provisioning Domain Architecture 各 i/fの 設 定 情 報 をProvisioning Domain (PvD)とし 複 数 を 使 い 分 けることができるアーキテクチャ MIF using reverse DNS, draft-stenberg-mif-mpvd-dns _pvd. 逆 引 きドメイン 名 PTR にPvD 設 定 情 報 のドメイン 名 PvD 設 定 情 報 ドメイン 名 のTXTに 設 定 情 報 設 定 情 報 には 回 線 の 情 報 や 提 供 されるアプリケーションの 情 報 DNSサーバの 情 報 など 例 : _pvd.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.2.3.4.5.6.7.8.8.b.d.0.1. 0.0.2.ip6.arpa PTR iptv.foo.example. iptv.foo.example TXT n=foo IPTV s 6=2001:db8::/64 r=dns-iptv.foo.example Connection to Foo IPTV, no-internet, access to 2001:db8::/64 only, use dns-iptv.foo.example as Recursive DNS Copyright 2015 Japan Registry Services Co., Ltd. 30
homenet (Home Networking) WG 家 の 情 報 をDNSに 出 す 仕 組 みが 提 案 されてい るが 停 滞 気 味 draft-ietf-homenet-front-end-naming-delegation 家 でhidden masterを 動 かし ISPにゾーン 転 送 して DNSSEC 署 名 してISPのDNSサーバで 公 開 draft-ietf-homenet-naming-architecture-dhcoptions DHCPにhybrid proxyなどのオプションを 追 加 する 提 案 OPTION_PUBLIC_KEY, OPTION_DNS_ZONE_TEMPLATE, OPTION_NAME_SERVER_SET, OPTION_REVERSE_NAME_SERVER_SET 複 雑 WGLC が 近 い(IETF 93) IETF 94 後 も 未 実 施 Copyright 2015 Japan Registry Services Co., Ltd. 31
IEPG 若 干 低 調 気 味 であり 研 究 発 表 が 多 い Comparing IPv4/IPv6 measurements from RIPE Atlas Big data based security applications.nlの 新 規 登 録 ドメイン 名 に 毎 日 200クエリ 程 度 のクエリ があり フィッシング 用 だったものがあった 普 通 のドメイン 名 は 登 録 直 後 のクエリは 少 ない HadoopHDFS+SQLを 用 い 52TBのpcap dataを hadoop 4ノードでSQLで3.5 分 で 検 索 可 能 検 出 したら 画 面 を 保 存 しておき あとで 判 断 DNS over TCP - what might it look like Comcastのデータを 用 いてDNS over TCPの 負 荷 を 評 価 招 待 講 演 : How a router actually works NANOG 65での 講 演 Copyright 2015 Japan Registry Services Co., Ltd. 32
参 考 www.ietf.org 過 去 のIETFミーティングの 資 料 議 事 録 あり www.iepg.org IEPGミーティングの 資 料 Copyright 2015 Japan Registry Services Co., Ltd. 33